«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры.
«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Зловред, получивший название Roaming Mantis, изначально атаковал пользователей Android в Азии с целью сбора данных. Сейчас же злоумышленники добавили в него «поддержку» уже 27 различных языков, распространённых на Ближнем Востоке и в Европе, в том числе русский. Кроме того, атакующие теперь разработали и дополнительный фишинговый модуль для iOS-устройств, а также внедряют скрытый скрипт-майнер криптовалют (Coinhive/Monero) в случае выхода в сеть с ПК.
Изначальной целью атакующих были конфиденциальные данные, в частности используемые для двухфакторной аутентификации, например, для доступа к Google-аккаунтам жертв. Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. Как полагают эксперты «Лаборатории Касперского», за этим, скорее всего, стоят китайско- или корейскоговорящие киберпрестпуники.
В начале своей «карьеры» Roaming Mantis атаковал, по подсчётам аналитиков «Лаборатории Касперского», около 150 пользователей – преимущественно в Южной Корее, Бангладеш и Японии. После расширения возможностей зловреда эксперты зарегистрировали ещё более 100 попыток атак. В то же время на серверах злоумышленников ежедневно фиксируются тысячи соединений, что может говорить о более широком масштабе заражений.
Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Зловред ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками. Страница эта будет показывать жертве сообщение с предложением установить последнюю версию браузера (например, Google Chrome) для перехода на запрошенную страницу. Если человек согласится и его настройки системы разрешают установку приложений из сторонних источников, то это автоматически запустит установку троянского приложения, содержащего бэкдор для Android. Если это пользователь с iOS – то его направят на фишинговую страницу, а если ПК – то внедрят майнер криптовалют.
«Впервые мы предупредили наших пользователей о Roaming Mantis в апреле этого года, и уже тогда было понятно, что угроза будет развиваться очень быстро. Спустя месяц мы видим, что так оно и происходит. Злоумышленники очевидно ищут большей финансовой выгоды и готовы ради этого расширять и модифицировать возможности своего главного инструмента. И тот факт, что для распространения зловреда атакующие взламывают роутеры и меняют их настройки, в очередной раз демонстрирует необходимость комплексной защиты всех устройств, а не только традиционных ПК и смартфонов», – отметил Сугуру Ишимару (Suguru Ishimaru), антивирусный эксперт «Лаборатории Касперского».
Защитные решения «Лаборатории Касперского» успешно выявляют и блокируют Roaming Mantis: вредоносная программа детектируется как Trojan-Banker.AndroidOS.Wroba.
Чтобы не стать жертвой подобной угрозы, «Лаборатория Касперского» рекомендует пользователям:
- проверить подлинность настроек DNS в своём роутере (с помощью инструкции или интернет-провайдера);
- изменить логин и пароль, установленные на роутере производителем, и регулярно обновлять программное обеспечение устройства из официальных источников;
- никогда не устанавливать ПО из ненадёжных источников;
- всегда проверять подлинность браузера и веб-сайта, а прежде чем вводить какие-либо данные, убедиться в защищённости страницы (например, с помощью протокола безопасного соединения https);
- для защиты данных на смартфоне – установить специализированное защитное решение, например, Kaspersky Internet Security для Android.
Подробнее об угрозе Roaming Mantis можно узнать из отчёта «Лаборатории Касперского»: https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/.